[Q175-Q191] 轻松通过最新 AZ-500 高级考试 [2023 年 11 月 7 日]

出版日期 11 月 7, 2023

给本帖评分

轻松通过最新的 AZ-500 高级考试 [2023 年 11 月 07 日]

AZ-500 认证一体化考试指南 Nov-2023

问题 175
您有一个名为 Sub 1 的 Azure 订阅，该订阅与名为 contoso.com 的 Azure AD 租户相关联。该租户包含下表所示的用户。

为每个用户分配一个 Azure AD Premium P2 许可。
您计划启用和配置 Azure AD 身份保护。
哪些用户可以加入 Azure AD 身份保护、修复用户和配置策略？请在答案区域选择相应选项。
注意：每个正确选项得一分。

问题 176
您创建的警报规则具有以下设置：
* 资源：RG1
* 条件：所有行政业务
* 行动：为该警报规则配置的行动组：行动组 1
* 警报规则名称：警报 1
您创建的操作规则具有以下设置：
* 范围：VM1
* 筛选标准：资源类型 = "虚拟机
* 在此范围内定义：抑制
* 抑制配置：从现在开始（始终）
* 名称：行动规则 1
对于下列每项陈述，如果为真，请选择 "是"。否则，选择 "否"。
注：每个正确选项得一分。

解释：
方框 1：
操作规则的范围设置为 VM1，并设置为无限期抑制警报。
方框 2：
操作规则的范围未设置为 VM2。
方框 3：
添加标签不是一项管理操作。
参考资料
https://docs.microsoft.com/en-us/azure/azure-monitor/platform/alerts-activity-log
https://docs.microsoft.com/en-us/azure/azure-monitor/platform/alerts-action-rules

问题 177
您有一个 Azure 订阅，其中包含下表所示的 Azure Active Directory (Azure AD) 资源。

您可以创建下表所示的组。

哪些资源可以添加到第 5 组和第 6 组？请在答案区域选择相应的选项。
注意：每个正确选项得一分。

问题 178
注意：本问题是一系列问题中的一部分，这些问题提出了相同的情景。该系列中的每道题都包含一个可能达到既定目标的独特解决方案。某些题组可能有不止一个正确的解决方案，而其他题组可能没有正确的解决方案。
回答本部分的问题后，您将无法返回该问题。因此，这些问题将不会出现在审核屏幕中。
您有一个名为 Sub1 的 Azure 订阅。Sub1 包含名为 VM1 的 Azure 虚拟机，该虚拟机运行 Windows Server 2016。
您需要使用 Azure 磁盘加密来加密 VM1 磁盘。
您应该依次执行哪三个操作？要回答问题，请将适当的操作从操作列表移到答案区域，并按正确顺序排列。

参考资料
https://docs.microsoft.com/en-us/azure/virtual-machines/windows/encrypt-disks

问题 179
根据需要使用以下登录凭证：
要输入用户名，请将光标放在登录框中，然后点击下面的用户名。
要输入密码，请将光标放在输入密码框中，然后点击下面的密码。
Azure 用户名： [email protected]
Azure 密码：Ag1Bh9!#Bd
以下信息仅供技术支持之用：
实验室实例：10598168

您需要防止管理用户意外删除名为 VNET1 的虚拟网络。必须允许管理用户修改 VNET1 的设置。
要完成此任务，请登录 Azure 门户。

请参见下面的解释。
说明
锁定可防止组织中的其他用户意外删除或修改关键资源，如 Azure 订阅、资源组或资源。
注：在 Azure 中，资源一词指 Azure 管理的实体。例如，虚拟机、虚拟网络和存储帐户都称为 Azure 资源。
1.在虚拟网络 VNET 的设置刀片中，选择锁定。

2.要添加锁，请选择添加。

3.在锁定类型中选择 "删除锁定"，然后单击 "确定"。
参考资料
https://docs.microsoft.com/en-us/azure/azure-resource-manager/resource-group-lock-resources

问题 180
贵公司有一个名为 contoso.com 的 Azure Active Directory（Azure AD）租户。
该公司正在开发一款名为 App1 的应用程序。App1 将作为服务在运行 Windows Server 2016 的服务器上运行。App1 将验证 contoso.com 并访问 Microsoft Graph 以读取目录数据。
您需要向 App1 授予所需的最低权限。
应从 Azure 门户依次执行哪三个操作？要回答问题，请将适当的操作从操作列表移动到答案区域，并按正确顺序排列。

说明

步骤 1：创建应用程序注册
首先必须创建/注册应用程序。
步骤 2：添加应用程序权限
应用程序权限用于在没有登录用户在场的情况下运行的应用程序。
步骤 3：授予权限

问题 181
您正在为名为 VNET1 和 VNET2 的两个 Azure 虚拟网络配置网络连接。
您需要为虚拟网络实施 VPN 网关，以满足以下要求：
* VNET1 必须有六个使用 BGP 的站点到站点连接。
* VNET2 必须有 12 个使用 BGP 的站点到站点连接。
* 必须尽量降低成本。
每个虚拟网络应使用哪个 VPN 网关 SKI？要回答这个问题，请将相应的 SKU 拖到正确的网络上。每个 SKU 可使用一次、多次或完全不使用。您可能需要在窗格之间拖动分割栏或滚动来查看内容。
注意：每个正确选项得一分

参考资料
https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-about-vpngateways#gwsku

问题 182
您需要创建 Role1 以满足平台保护要求。
应如何完成 Role1 的角色定义？请在答案区域选择适当的选项。
注意：每个正确选项得一分。

说明

情景：必须使用名为 Role1 的新自定义 RBAC 角色来委托管理资源组 1 中的受管磁盘。Role1 必须仅适用于资源组 1。
Azure RBAC 模板管理的磁盘 "Microsoft.Storage/"
参考资料
https://blogs.msdn.microsoft.com/azureedu/2017/02/11/new-managed-disk-storage-option-for-your-azure-vms/

问题 183
您需要确保用户可以访问 VM0。解决方案必须符合平台保护
要求。
你该怎么办？

将 VM0 移至子网 1。

在防火墙上，配置网络流量过滤规则。

将 RT1 分配给 AzureFirewallSubnet。

在防火墙上，配置 DNAT 规则。

说明/参考：
解释：
Azure 防火墙存在以下已知问题：
与 Azure 安全中心 (ASC) 即时 (JIT) 功能冲突。
如果使用 JIT 访问虚拟机，且虚拟机所在子网中的用户定义路由指向 Azure
防火墙作为默认网关时，ASC JIT 无法工作。这是非对称路由的结果--数据包
通过虚拟机公共 IP 进入（JIT 打开了访问），但返回路径是通过防火墙、
会丢弃数据包，因为防火墙上没有建立会话。
解决方法要解决这个问题，可将 JIT 虚拟机放在一个单独的子网中，该子网中没有
用户定义的防火墙路由。
场景

在实施计划的变更后，IT 团队必须能够通过以下方式连接到 VM0
使用 JIT 虚拟机访问。

参考资料
https://docs.microsoft.com/en-us/azure/firewall/overview
试题 2
这是一个案例研究。案例分析不单独计时。您可以使用尽可能多的考试时间
喜欢完成每个案例。不过，本次考试可能会有额外的案例研究和章节。您
您必须合理安排时间，确保您能够在规定的时间内完成本考试的所有试题。
提供的时间。
要回答案例研究中的问题，您需要参考以下文件中提供的信息
案例研究。案例研究可能包含提供更多信息的展品和其他资源
案例研究中描述的情景。每个问题都独立于其他问题
本案例研究。
在本案例学习结束时，会出现一个复习屏幕。通过该屏幕，您可以查看自己的答案
并在进入下一考试部分之前进行修改。开始新章节后、
则无法返回本节。
开始案例研究
要显示本案例研究的第一个问题，请单击 "下一步 "按钮。使用左窗格中的按钮来
在回答问题之前，请先浏览案例研究的内容。点击这些按钮会显示
业务需求、现有环境和问题陈述等信息。如果案例
研究报告有一个 "所有信息 "选项卡，注意显示的信息与以下信息相同
在随后的选项卡上。准备好回答问题时，单击 "问题 "按钮返回到
的问题。
概述
Contoso, Ltd.是一家咨询公司，总公司设在蒙特利尔，在西雅图设有两个分公司
和纽约。
公司将其整个服务器基础设施托管在 Azure 中。
Contoso 有两个名为 Sub1 和 Sub2 的 Azure 订阅。这两个订阅都与一个
名为 contoso.com 的 Azure 活动目录（Azure AD）租户。
技术要求
Contoso 确定了以下技术要求：
将 Azure Firewall 部署到子 2 中的 VNetWork1。

在 contoso.com 中注册名为 App2 的应用程序。

尽可能使用最小特权原则。

为 contoso.com 启用 Azure AD 特权身份管理 (PIM)

现有环境
Azure AD
Contoso.com 包含下表所示的用户。

Contoso.com 包含下表所示的安全组。

子 1
子 1 包含六个资源组，分别命名为 RG1、RG2、RG3、RG4、RG5 和 RG6。
用户 2 创建了下表所示的虚拟网络。

子 1 包含下表所示的锁。

子 1 包含下表所示的 Azure 策略。

次级2
子 2 包含下表所示的网络安全组（NSG）。

NSG1 的入站安全规则如下表所示。

NSG2 的入站安全规则如下表所示。

NSG3 的入站安全规则如下表所示。

NSG4 的入站安全规则如下表所示。

NSG1、NSG2、NSG3 和 NSG4 的出站安全规则如下表所示。

Contoso 确定了以下技术要求：
将 Azure 防火墙部署到子 2 中的 VNetwork1。

在 contoso.com 中注册名为 App2 的应用程序。

尽可能使用最小特权原则。

为 contoso.com 启用 Azure AD 特权身份管理 (PIM)。

第 3 题

问题 184
星期一，您在 Azure 安全中心配置了电子邮件通知，以通知用户 [email protected]。
周二，安全中心会生成下表所示的安全警报。

[email protected] 周二将收到多少封电子邮件通知？要回答问题，请在答案区域选择相应的选项。
注意：每个正确选项得一分。

参考资料
https://docs.microsoft.com/en-us/azure/security-center/security-center-provide-security-contact-details

问题 185
您有一个 Azure 订阅，其中包含三个存储账户、一个名为 SQL 的 Azure SQL 托管实例和三个 Azure SQL 数据库。存储账户的配置如下表所示。
SQ11 有以下设置：
* 审计：开启
* 审计目的地：存储1
Azure SQL 数据库的配置如下表所示。

参考资料
https://docs.microsoft.com/en-us/azure/azure-sql/managed-instance/auditing-configure
https://docs.microsoft.com/en-us/azure/azure-sql/database/auditing-overview

问题 186
您有一个 Azure 订阅，其中包含一个名为 1 的 Azure Web 应用程序和一个名为 VM1 的虚拟机。
VM1 运行 Microsoft SQL Server，并连接到名为 VNet1 的虚拟网络。App1、VM1 和 Vent 位于美国中部 Azure 区域。
您需要确保 App1 可以连接到 VM1。解决方案必须最大限度地降低成本。

NAT 网关集成

天蓝色前门

区域虚拟网络整合

需要网关的虚拟网络集成

Azure 应用网关集成

问题 187
您计划使用 Azure 日志分析功能从 200 台运行 Windows Server 2016 的服务器收集日志。
您需要使用 Azure 资源管理器模板将 Microsoft Monitoring Agent 自动部署到所有服务器。
应如何填写模板？要回答问题，请在答案区域选择适当的选项。
注意：每个正确选项得一分。

说明

参考资料
https://blogs.technet.microsoft.com/manageabilityguys/2015/11/19/enabling-the-microsoft-monitoring-agent-in-w

问题 188
你在一家名为 Contoso 有限公司的公司工作，该公司的办事处如下表所示。

Contoso 有一个名为 contoso.com 的 Azure 活动目录（Azure AD）租户。所有 contoso.com 用户都启用了 Azure 多因素身份验证 (MFA)。该租户包含下表所示的用户。

contoso.com 的多因素设置配置如下图所示。

对于下列每项陈述，如果为真，请选择 "是"。否则，选择 "否"。
注意：每个正确选项得一分。

问题 189
您有一个 Azure 订阅，其中包含两个运行 Windows Server 2019 的虚拟机，分别名为 VM1 和 VM2。
您正在 Azure Automation 中实施更新管理。
您计划创建一个名为 Update1 的新更新部署。
您需要确保 Update1 满足以下要求：
* 自动将更新应用到 VM1 和 VM2。
* 自动将任何新的 Windows Server 2019 虚拟机添加到 Update1。
更新 1 中应包括哪些内容？

成员资格类型为 "指定 "的安全组

成员资格类型为动态设备的安全组

动态分组查询

库斯托查询语言查询

说明/参考：
https://docs.microsoft.com/en-us/azure/automation/update-management/configure-groups

问题 190
根据需要使用以下登录凭证：
要输入用户名，请将光标放在登录框中，然后点击下面的用户名。
要输入密码，请将光标放在输入密码框中，然后点击下面的密码。
Azure 用户名： [email protected]
Azure 密码：Ag1Bh9!#Bd
以下信息仅供技术支持之用：
实验室实例：10598168

您需要将名为 VM1 的虚拟机的网络接口添加到名为 ASG1 的应用程序安全组中。
要完成此任务，请登录 Azure 门户。

请参见下面的解释。
* 在门户顶部的 "搜索资源、服务和文档 "框中，开始键入虚拟机 VM1 的名称，该虚拟机有一个网络接口，您要将其添加到应用程序安全组或从中删除。
* 当虚拟机名称出现在搜索结果中时，请选择它。
* 在设置下选择网络。选择配置应用程序安全组，选择要添加网络接口的应用程序安全组，或取消选择要删除网络接口的应用程序安全组，然后选择保存。
参考资料
https://docs.microsoft.com/en-us/azure/virtual-network/virtual-network-network-interface

问题 191
贵公司使用 Azure DevOps。
您需要推荐一种方法来验证代码是否符合公司的质量标准和代码审查标准。
您建议在 Azure DevOps 中实施哪些功能？

分支文件夹

分支权限

分支政策

分支锁定

分支策略可帮助团队保护其重要的开发分支。策略可执行团队的代码质量和变更管理标准。
参考资料
https://docs.microsoft.com/en-us/azure/devops/repos/git/branch-policies?view=azuredevops&
viewFallbackFrom=vsts

加载中 …